Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 11-01-2016 16:32:28

kmchen
Membre
Inscription : 19-03-2008

blockage d'IP portsentry

Bonjour,
J'ai un serveur "source" S qui en scrute un autre "cible" C en permanence pour détecter la chutte éventuelle d'un site. Cela se fait par un wget du serveur S sur les sites du serveur C
Depuis que j'ai installé portsentry sur le serveur C, S n'a plus accès à C ni sur le port 80 ni sur le 22, même en stoppant le firewall et portsentry:

sur C:
root@ns1:$

/etc/init.d/firewall stop


 [firewall désactivé]


root@ns1:$

/etc/init.d/portsentry stop


Stopping anti portscan daemon: portsentry.



root@ns1:$

iptables -L


Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


         
root@ns1:$

cat /etc/hosts.deny


# /etc/hosts.deny: list of hosts that are _not_ allowed to access the system.
#                  See the manual pages hosts_access(5) and hosts_options(5).
#
# Example:    ALL: some.host.name, .some.domain
#             ALL EXCEPT in.fingerd: other.host.name, .other.domain
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8) and rpc.mountd(8)
# for further information.
#
# The PARANOID wildcard matches any host whose name does not match its
# address.
#
# You may wish to enable this to ensure any programs that don't
# validate looked up hostnames still leave understandable logs. In past
# versions of Debian this has been the default.
# ALL: PARANOID
 



root@ns1:$

Sur S:

vm293 ~ >

wget http://www.unsite.com


--2016-01-11 11:12:39--  http://www.unsite.com/
Résolution de www.unsite.com (www.unsite.com)... ip.du.serveur.C
Connexion vers www.unsite.com (www.unsite.com)|ip.du.serveur.C|:80... échec: Connexion terminée par expiration du délai d'attente.



vm293 ~ >

Je précise que http://www.unsite.com/ est accessible depuis un autre poste, bien sûr.

Y-a-t-il d'autres sources de blockage possible que iptables ou hosts.deny ?

Merci pour votre aide

Edit à toto :
Mise des balises root et user séparées de leurs retours respectifs afin d'en faciliter la lecture pour tous les visiteurs, des plus chevronnés au plus débutants qui débutent au commencement..
Voir le tuto : Le code, ça pique moins les yeux en couleur smile

Hors ligne

#2 11-01-2016 17:21:57

Kusajika
Membre
Inscription : 08-04-2015

Re : blockage d'IP portsentry

Bonjour, peux tu lancer les commandes suivantes sur ton serveur C?

netstat -paunt | grep :::80


netstat -paunt | grep :::22

Dernière modification par Kusajika (11-01-2016 17:27:18)

Hors ligne

#3 11-01-2016 19:32:17

kmchen
Membre
Inscription : 19-03-2008

Re : blockage d'IP portsentry

Merci pour la réponse. Mais j'ai trouvé: portsentry bloque aussi au niveau du routage réseau:

route del adr.ip reject


a rétabli la connexion

Il faut drôlement se méfier avec portsentry car il bloque à 3 niveaux:

- iptables (comme on s'y attend)
- /etc/hosts.deny
- route

Ca ne saute pas forcément aux yeux quand on lit portsentry.conf

Edit à toto :
Suppression du bloc à supprimer si il n'y a pas de retour de la commande à y inscrire.

Hors ligne

#4 12-01-2016 09:23:22

Kusajika
Membre
Inscription : 08-04-2015

Re : blockage d'IP portsentry

Merci pour l'information de résolution du pb , tu peux modifier le titre et le passé en [résolu] stp ?

Edit à toto :
Voir le tuto : C'est résolu ! Bravo mais il faut l'indiquer dans l'titre. cool

Hors ligne

#5 12-01-2016 10:03:48

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : blockage d'IP portsentry

Et pis remplir ton infodistri du profil aussi, qu'on sache d'où viennent tes interventions sur le forum, ça l'fait... si si !

Voir le tuto : Trop cool d'indiquer son installation dans son profil ! cool

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

Pied de page des forums